Если сайт взломали, действуйте в таком порядке: закройте доступ посетителям, смените все пароли, сделайте копию заражённого сайта для анализа, найдите и удалите вредоносный код (или восстановитесь из чистого бэкапа), закройте уязвимость, через которую вошли, и только потом снимайте предупреждения в Яндексе и Google. Ниже - подробный план на первые 24 часа: он написан по опыту реальных «реанимаций» сайтов на 1С-Битрикс и других CMS.
Как понять, что сайт действительно взломан
Взлом не всегда выглядит как «сайт не работает». Чаще наоборот: внешне всё в порядке, а внутри сайт уже рассылает спам или показывает поисковикам скрытые страницы. Признаки, по которым взлом определяют быстрее всего:
- Яндекс Вебмастер или Google Search Console прислали уведомление об угрозе безопасности
- В поисковой выдаче у сайта появились чужие страницы: казино, реплики, иероглифы
- С мобильных сайт редиректит на посторонние ресурсы, с компьютера - работает
- Хостинг заблокировал сайт или пишет о рассылке спама с вашего домена
- Браузер показывает красное предупреждение «Сайт может угрожать безопасности»
- Резко выросла нагрузка на хостинг без роста посещаемости
- В корне сайта появились файлы с непонятными именами и свежими датами
Первые 24 часа: пошаговый план
- Закройте сайт на техобслуживаниеПоставьте заглушку с кодом ответа 503. Так вы не заражаете посетителей, не портите репутацию в поисковиках и спокойно работаете. В Битрикс это делается стандартной заглушкой, на любом сайте - правилом в .htaccess.
- Смените все пароли и доступыАдминка сайта, панель хостинга, FTP/SSH, база данных, почта, личный кабинет регистратора домена. Пароли делайте длинными и разными. Если у бывших подрядчиков остались доступы - отзовите.
- Сохраните «слепок» заражённого сайтаПолная копия файлов и базы до чистки. Она нужна для анализа: по датам изменения файлов и логам восстанавливается картина взлома - когда вошли, через что, что успели сделать.
- Найдите вредоносный кодПрогоните файлы сканером (AI-Bolit, ImunifyAV, встроенный сканер хостинга), проверьте файлы с недавними датами изменения, поищите характерные конструкции: eval, base64_decode, обфусцированные вставки. В Битрикс дополнительно помогает «Монитор качества» и поиск изменённых файлов ядра.
- Вылечите или восстановитесь из бэкапаЕсли есть заведомо чистая резервная копия до взлома - быстрее восстановиться из неё и перенести свежий контент. Если бэкапа нет, вычищайте заражение вручную: все найденные шеллы, бэкдоры, посторонние скрипты и задания планировщика.
- Закройте дыру, через которую вошлиОбновите CMS и все модули до актуальных версий, удалите неиспользуемые плагины и «нулёные» шаблоны, проверьте права на файлы (никаких 777), включите проактивную защиту. Без этого шага сайт взломают снова - обычно в течение месяца.
- Снимите санкции поисковиков и браузеровВ Яндекс Вебмастере и Google Search Console отправьте сайт на перепроверку, укажите, что угроза устранена. Пометка «опасный сайт» снимается за 1-3 дня после успешной проверки.
Нет времени разбираться? Вылечим сайт за 1-2 дня
Найдём и удалим вредоносный код, закроем уязвимости, снимем предупреждения Яндекса и Google. Работаем по договору, после лечения - месяц гарантийного наблюдения.
Откуда берутся взломы: 5 типовых причин
За абсолютным большинством взломов стоит не «гениальный хакер», а автоматический сканер, который перебирает тысячи сайтов в поисках типовых дыр. Вот что он находит чаще всего:
| Причина | Как выглядит | Профилактика |
|---|---|---|
| Устаревшая CMS и модули | Сайт не обновлялся месяцами, уязвимости давно опубликованы | Регулярные обновления платформы и модулей |
| Слабые пароли | admin/123456, один пароль на всё | Длинные уникальные пароли, двухфакторная авторизация |
| «Нулёные» шаблоны и модули | Скачанный бесплатно платный шаблон с сюрпризом внутри | Только официальный Маркетплейс и проверенные разработчики |
| Заражённый компьютер сотрудника | Троян украл сохранённые пароли из браузера и FTP-клиента | Антивирус, менеджер паролей, доступы по ролям |
| Соседи по хостингу | Взломали чужой сайт на том же сервере и дотянулись до вашего | Изоляция аккаунтов, нормальный хостинг, права на файлы |
Сколько стоит лечение сайта
Ориентиры по рынку Беларуси: разовое лечение типового сайта - от 250 до 700 BYN в зависимости от объёма заражения и наличия бэкапов. Запущенные случаи (магазин с тысячами заражённых файлов, повторные взломы, восстановление без бэкапа) - дороже, считаются после экспресс-аудита. Для сравнения: месяц абонентской поддержки с обновлениями, бэкапами и мониторингом стоит от 250 BYN - то есть профилактика дешевле одного инцидента.
Как защитить сайт от повторного взлома
Стопроцентной защиты не существует, но связка простых мер отсекает автоматические атаки - а именно они дают 9 из 10 взломов:
- Обновляйте CMS и модули сразу после выхода обновлений безопасности
- Включите проактивную защиту и веб-антивирус (в 1С-Битрикс они штатные)
- Настройте автоматические резервные копии с хранением вне хостинга
- Используйте двухфакторную авторизацию для админки
- Раздайте сотрудникам минимально необходимые права вместо общего админа
- Подключите мониторинг: изменения файлов, доступность, появление страниц в индексе
- Раз в квартал делайте технический аудит: версии, права, лишние учётки
Частые вопросы о взломе сайта
Можно ли просто восстановить сайт из бэкапа и всё?
Сколько времени занимает лечение сайта?
Упадут ли позиции сайта в поиске после взлома?
Хостинг заблокировал сайт за рассылку спама. Это взлом?
Сайт на 1С-Битрикс - его тоже ломают?
Итог: план действий одним списком
Закрыть сайт заглушкой, сменить все пароли, сохранить копию для анализа, найти и удалить заражение, обновить платформу и закрыть уязвимость, отправить сайт на перепроверку в Яндекс и Google, включить бэкапы и мониторинг. Всё это реально сделать самостоятельно за выходные, если есть технический опыт.
Если опыта нет или сайт нужен живым уже завтра - передайте задачу нам: техническая поддержка Alavir лечит взломы, настраивает защиту и берёт сайт под круглосуточный мониторинг. Консультация бесплатная: расскажите, что случилось, - за один день оценим масштаб и назовём точную стоимость. А чтобы больше не выбирать между «дорого лечить» и «страшно жить», посмотрите аудит и доработку сайта: находим слабые места до того, как их найдёт сканер злоумышленника.












